在go语言中安全问题之敏感数据保护、输入校验、SQL操作、网络请求场景示例

Go  /  管理员 发布于 1年前   428

go语言安全问题之敏感数据保护、输入校验、SQL操作、网络请求场景

场景1：敏感数据保护

敏感信息访问

禁止将敏感信息硬编码在程序中，既可能会将敏感信息暴露给攻击者，也会增加代码管理和维护的难度

使用配置中心系统统一托管密钥等敏感信息

敏感数据输出

只输出必要的最小数据集，避免多余字段暴露引起敏感信息泄露

不能在日志保存密码（包括明文密码和密文密码）、密钥和其它敏感信息

对于必须输出的敏感信息，必须进行合理脱敏展示

// bad
func serve() {
 http.HandleFunc("/register", func(w http.ResponseWriter, r *http.Request) { r.ParseForm() user := r.Form.Get("user") pw := r.Form.Get("password")
 log.Printf("Registering new user %s with password %s.\n", user, pw) }) http.ListenAndServe(":80", nil)}
// good
func serve1() {
 http.HandleFunc("/register", func(w http.ResponseWriter, r *http.Request) { r.ParseForm() user := r.Form.Get("user") pw := r.Form.Get("password")
 log.Printf("Registering new user %s.\n", user)
 // ... use(pw) }) http.ListenAndServe(":80", nil)}

避免通过 GET 方法、代码注释、自动填充、缓存等方式泄露敏感信息

敏感数据存储

敏感数据应使用 SHA2、RSA 等算法进行加密存储

敏感数据应使用独立的存储层，并在访问层开启访问控制

包含敏感信息的临时文件或缓存一旦不再需要应立刻删除

异常处理和日志记录

应合理使用 panic、recover、defer 处理系统异常，避免出错信息输出到前端

defer func () {
 if r := recover(); r != nil { fmt.Println("Recovered in start()") }}()
对外环境禁止开启 debug 模式，或将程序运行日志输出到前端
// baddlv --listen=:2345 --headless=true --api-version=2 debug test.go
// gooddlv debug test.go

加密解密

不得硬编码密码/密钥

- 在进行用户登陆，加解密算法等操作时，不得在代码里硬编码密钥或密码，可通过变换算法或者配置等方式设置密码或者密钥。

// bad
const (
 user     = "dbuser" password = "s3cretp4ssword")
func connect() *sql.DB {
 connStr := fmt.Sprintf("postgres://%s:%s@localhost/pqgotest", user, password) db, err := sql.Open("postgres", connStr) if err != nil { return nil } return db}
// bad
var (
 commonkey = []byte("0123456789abcdef"))
func AesEncrypt(plaintext string) (string, error) {
 block, err := aes.NewCipher(commonkey) if err != nil { return "", err }}

密钥存储安全

在使用对称密码算法时，需要保护好加密密钥。当算法涉及敏感、业务数据时，可通过非对称算法协商加密密钥。其他较为不敏感的数据加密，可以通过变换算法等方式保护密钥。

不使用弱密码算法

在使用加密算法时，不建议使用加密强度较弱的算法。

// bad
crypto/des，crypto/md5，crypto/sha1，crypto/rc4等。
// good
crypto/rsa，crypto/aes等。

场景2：输入校验

按类型进行数据校验

所有外部输入的参数，应使用 validator 进行白名单校验，校验内容包括但不限于数据长度、数据范围、数据类型与格式，校验不通过的应当拒绝

// good
import (
 "fmt" "github.com/go-playground/validator/v10")
var validate *validator.Validate
func validateVariable() {
 myEmail := "[email protected]" errs := validate.Var(myEmail, "required,email") if errs != nil { fmt.Println(errs) return //停止执行
 } // 验证通过，继续执行
}

func main() {
 validate = validator.New() validateVariable()
 }

无法通过白名单校验的应使用 html.EscapeString、text/template 或 bluemonday 对 <, >, &, '," 等字符进行过滤或编码

import (
 "text/template")
// TestHTMLEscapeString HTML特殊字符转义
func main(inputValue string) string {
 escapedResult := template.HTMLEscapeString(inputValue) return escapedResult}

场景3：SQL 操作

SQL 语句默认使用预编译并绑定变量

使用 database/sql 的 prepare、Query 或使用 GORM 等 ORM 执行 SQL 操作

import (
 "github.com/jinzhu/gorm" _ "github.com/jinzhu/gorm/dialects/sqlite")
type Product struct {
 gorm.Model Code  string Price uint}
...
var product Product
...
db.First(&product, 1)
使用参数化查询，禁止拼接 SQL 语句，另外对于传入参数用于 order by 或表名的需要通过校验
// bad
import (
 "database/sql" "fmt" "net/http")
func handler(db *sql.DB, req *http.Request) {
 q := fmt.Sprintf("SELECT ITEM,PRICE FROM PRODUCT WHERE ITEM_CATEGORY='%s' ORDER BY PRICE", req.URL.Query()["category"]) db.Query(q)}
// good
func handlerGood(db *sql.DB, req *http.Request) {
 // 使用?占位符
 q := "SELECT ITEM,PRICE FROM PRODUCT WHERE ITEM_CATEGORY='?' ORDER BY PRICE" db.Query(q, req.URL.Query()["category"])}

场景4：网络请求

资源请求过滤验证

使用 "net/http" 下的方法 http.Get(url)、http.Post(url, contentType, body)、http.Head(url)、http.PostForm(url, data)、http.Do(req) 时，如变量值外部可控（指从参数中动态获取），应对请求目标进行严格的安全校验。

如请求资源域名归属固定的范围，如只允许 a.qq.com 和 b.qq.com，应做白名单限制。如不适用白名单，则推荐的校验逻辑步骤是：

第 1 步、只允许 HTTP 或 HTTPS 协议
第 2 步、解析目标 URL，获取其 HOST
第 3 步、解析 HOST，获取 HOST 指向的 IP 地址转换成 Long 型
第 4 步、检查 IP 地址是否为内网 IP，网段有：
// 以RFC定义的专有网络为例，如有自定义私有网段亦应加入禁止访问列表。
10.0.0.0/8
172.16.0.0/12 192.168.0.0/16 127.0.0.0/8 

第 5 步、请求URL
第 6 步、如有跳转，跳转后执行1，否则绑定经校验的ip和域名，对URL发起请求

官方库 encoding/xml 不支持外部实体引用，使用该库可避免 xxe 漏洞

import (
 "encoding/xml" "fmt" "os")
func main() {
 type Person struct { XMLName  xml.Name `xml:"person"` Id       int      `xml:"id,attr"` UserName string   `xml:"name>first"` Comment  string   `xml:",comment"` }
 v := &Person{Id: 13, UserName: "John"} v.Comment = " Need more details. "
 enc := xml.NewEncoder(os.Stdout) enc.Indent("  ", "    ") if err := enc.Encode(v); err != nil { fmt.Printf("error: %v\n", err) }
}